Содержание статьи

 

Q: Есть ли возможность безвозвратно удалить файл в Windows, не прибегая к специализированному софту?

A: Напомню, что при удалении файла из системы стирается лишь запись о существовании этого файла в специальной таблице файловой системы. Вместе с тем, данные как были, так и остаются на HDD, и довольно легко могут быть восстановлены. Чтобы удалить файл безвозвратно, ту часть жесткого диска, где были файлы, необходимо перезаписать другими данными, чем и занимаются специальные программышредеры. Это простые истины. А вот то, что необходимости в этих утилитах, вообще говоря, нет, знают лишь немногие. Возможность безопасного удаления файла реализована в виде стандартной виндовой утилиты Cipher.exe. Несмотря на то, что основным назначением программы является работа с зашифрованными файлами с помощью встроенной в винду системы EFS (Encrypting File System), у нее есть дополнительный ключ «/w». Его использование гарантирует, что только что зашифрованные данные безнадежно удалены. Собственно, сами функции шифрования можно не использовать, а воспользоваться только безопасным удалением файла. Для этого необходимо предварительно стереть данные привычным способом, а потом запустить в консоли утилиту Cipher.exe, указав через ключ «/w» местонахождение только стертых файлов: cipher /W:C:\ Path\To\Folder.

 

Q: Есть задача — написать своего бота для Skype (аналог тех ботов, которые в изобилии представлены в ICQ). Времени на это немного, поэтому интересует наиболее шустрая и как можно более простая реализация. Что можешь посоветовать?

A: За что я люблю Python, так это за то огромное количество модулей на все случаи жизни. Решая задачу по автоматизации некоторых вещей в Skype, открыл для себя классный модуль Skype4Py (skype4py.sourceforge.net/doc/html). Это очень толковая мультиплатформенная обертка для API-вызовов Skype, которая донельзя упрощает любые операции с программой, в том числе работу с контактами, общение в чате, передачу файлов и, само собой, звонки.

В результате можно без проблем написать того же самого бота, автоматическую звонилку, парсер чат-логов или, например, скрипт для записи разговоров. Импортировав модуль в свой сценарий, работать со всеми элементами Skype становится проще простого. Вот так, к примеру, можно вывести информацию о текущем профиле пользователя и его контактах:

import Skype4Py
skype = Skype4Py.Skype()
skype.Attach()
print 'Your full name:', \
skype.CurrentUser.FullName
print 'Your contacts:'
for user in skype.Friends:
print ' ', user.FullName

 

Q: Как обеспечить максимальную скорость Wi-Fi соединения дома?

A: Очень важно, чтобы сигнал от твоей точки доступа не интерферировал с соседними Wi-Fi сетями, которые наверняка в округе есть. Несущая, на которой работает конкретная сеть, определяется с помощью канала (от 1 до 11), который устанавливается в настройках AP’шки. Для обеспечения максимально стабильного и быстрого соединения необходимо посмотреть, на каких каналах работают соседние сети, и убедиться, что они не используются твоей беспроводной сетью. Для этого сгодится любой Wi-Fi сканер, но наиболее наглядно перекрестные сети отображаются на графиках в программе inSSIDer (www.metageek.net/products/inssider), которую я и рекомендую.

Q: Во внутренних разработках компании, в которой я работаю администратором, сейчас реализуется поддержка протокола IPv6. Но с реализацией не все так прозаично, как я предполагал.
Всего несколько маленьких экспериментов — и тестируемый сервер упал. К сожалению, пакеты для экспериментов приходится составлять вручную (новой версии инструмента Scapy с поддержкой IPv6 еще, к сожалению, не вышло). Отсюда вопрос: возможно, уже есть какой-нибудь более продвинутый инструмент?

A: На самом деле публично доступен не просто конкретный инструмент, а целый набор утилит для работы с IPv6, и не от кого-то, а от самой THC, одной из известнейших security-команд. Я говорю о THC-IPV6 (freeworld.thc.org/thcipv6), в которую входят сразу несколько небольших программ для поиска уязвимостей в IPv6- и ICMP6-протоколах. Помимо прочего в набор входит именно то, что тебе нужно — простая в использовании библиотека для конструирования сетевых пакетов IPv6. На сайте также доступна презентация о безопасности протокола, которую обязательно нужно изучить. Возможно, это поможет реализовать свои собственные проверки и внести свой вклад в проект. К слову, это единственный способ заполучить приватную версию THC-IPV6 — в публичной версии приведен далеко не весь имеющийся у security-специалистов арсенал.

 

Q: Подскажи работающий чекер, который корректно проверяет, находится ли человек из контакт-листа в оффлайне или в инвизе, и не просит за это деньги. Все ранее используемые сервисы разрешают только несколько бесплатных проверок в день.

A: Одним из наиболее популярных сервисов является kanicq.ru/invisible. Он предоставляет сразу три метода проверки:

  1. Незаметный. Работает только для некоторых клиентов: классического Trillian и старых версий Miranda IM.
  2. Простой. Эффективно работает, но при этом клиенты, такие как QIP или R&Q, отобразят сообщение об отказе в авторизации от незнакомого номера. ICQ 6 будет молчать, если ты будешь использовать для соединения номер, присутствующий в контакт-листе проверяемого.
  3. Сложный. Требует регистрации нового UIN’а, и надо добиться, чтобы «цель» (и только она!) обязательно добавила его в свой контакт-лист.
 

Q: Если почитать описание сплоитов для браузеров, выяснится, что все они непременно используют обфускацию JavaScript-кода. Почему это становится такой проблемой для антивирусов, ведь получить деобфусцированный код можно даже с помощью Firefox-плагина JavaScript Deobfuscator?

A: Увы, тут не все так просто. Во-первых, проблема в самих автоматических движках, которые используют антивирусы для анализа малвари. Для многих антивирусов даже столь простое преобразование уже становится непреодолимой задачей:

замена

"clsid:0955AC62-BF2E-4CBAA2B9A63F772D46CF"

на

"\x63\x6c\x73\x69\x64\x3a\x30\x39\
x35\x35\x41\x43\x36\x32\x2d\x42\
x46\x32\x45\x2d\x34\x43\x42\x41\
x2d\x41\x32\x42\x39\x2d\x41\x36\
x33\x46\x37\x37\x32\x44\x34\x36\
x43\x46"

Большинство обфускаторов JavaScript пытаются спрятаться от антивирусов с помощью сложных преобразований кода, часто используя разные типы шифрования/дешифрования — это помогает обойти сигнатурный анализ. Код передается клиенту в зашифрованном виде, а расшифровывается для запуска уже на машине пользователя. Однако есть и более продвинутые обфускаторы. К примеру, упаковщик JSidle (github.com/svent/jsidle) использует похожий подход, но вносит в него важный элемент — фактор времени. Что это значит? Упаковщик не передает юзеру весь ключ сразу, поэтому зашифрованный код остается недоступным для антивирусного движка. При этом скрипт устроен так, что единственным способом расшифровать оставшуюся часть кода становится… брутфорс. Да-да, браузер клиента будет
пытаться взломать недостающую часть ключа, причем все устроено так, чтобы браузеру это удавалось за несколько секунд. Такую задержку невозможно обойти, и это становится реальной проблемой для антивируса. Автоматические анализаторы не могут позволить себе долго возиться со скриптом, и, если анализ не удалось произвести за десятые доли секунды, им ничего не остается, кроме как передать скрипт на выполнение браузеру. Вот такой вот подход.

 

Q: Есть дамп с некоторыми исполняемыми данными. Есть ли возможность проанализировать его в IDA, как если бы это был обычный exe’шник?

A: Необходимость исследовать бинарный дамп возникает довольно часто. Это может быть образ ROM-памяти или перехваченный пейлоад эксплойта. Увы, это не обычный исполняемый файл, который IDA сама сможет легко проанализировать, поэтому ей нужно немного помочь. Открываем в IDA файл и в диалоге выбора опций загрузки («Load a new file») выбираем пункт «Binary file». Тип процессора оставляем по умолчанию — «Intel 80×86 processors: metapc».

Далее следует задать значения таких полей как «Loading sergment» и «Loading offset» — это важное место. Если перед машинными командами есть что-то еще, необходимо с помощью этих параметров скорректировать место, с которого будет начинаться анализ. Далее, выбрав режим дизассемблирования (16 или 32 разрядный), IDA начинает анализ заданного файла с учетом заданных параметров.

 

Q: Есть ли способ обмануть кейлоггер, установленный в систему? Дополнительное условие: удалить его нельзя.

A: Самый верный путь — использовать виртуальную клавиатуру. В этом случае ты не будешь нажимать на кнопки клавиатуры, что непременно привело бы к появлению информации об этом в логах кейлоггера, но сможешь вводить текст с помощью мыши и специальной программой, реализующей виртуальную клаву.

Такой инструмент есть по умолчанию в Windows (посмотри раздел «Стандартные -> Дополнительные возможности»). Можно предположить, что есть кейлоггеры, которые научились отлавливать ввод с помощью этого стандартного средства Windows, поэтому можно быстро написать свою собственную виртуальную клавиатуру. Кстати говоря, некоторые банки и другие финансовые учреждения в целях безопасности используют подобные решения в рамках своей антифрод-системы. Тут надо понимать, что способ не работает против форм-грабберов, а эффективен только против кейлоггеров.

 

Q: Слышал, что в некоторых новых процессорах реализованы дополнительные инструкции, обеспечивающие шифрование. Подскажи, как не ошибиться с выбором CPU, покупая себе новый компьютер?

A: Действительно, в новых процессорах Intel 32 нм архитектуры появился набор инструкций AESNI (Intel Advanced Encryption Standard Instructions). С помощью этих инструкций на аппаратном уровне реализованы некоторые сложные и ресурсоемкие операции, используемые в алгоритме AES. В результате с помощью этого алгоритма стало возможным ускорить процесс шифрования и дешифрования в 3-10 раз. Правда, аппаратное шифрование должен поддерживать как CPU (а это процессоры семейства Intel i5 и i7), так и программное обеспечение. Открытый TrueCrypt (www.truecrypt.org) стал одной из первых программ, которая стала поддерживать аппаратное шифрование. Опция по умолчанию отключена, поэтому необходимо активировать ее в настройках.

 

Q: Вы много раз демонстрировали, как с помощью Metasploit быстро поднять шелл на удаленной системе, пробив ее сплоитом, и т.п. Отсюда такой вопрос: а как выявить такой шелл у себя в системе? Как убедиться, что машина не протроянена метасплоитом?

A: Проще всего воспользоваться небольшой утилитой Antimeter (www.mertsarica.com/codes/antimeter2.zip). Она позволяет периодически сканировать память на наличие скрытого удаленного шелла. Параметры работы задаются с помощью ключей в командной строке:

  • t [интервал времени] — сканировать память через заданный промежуток времени (по умолчанию — одна минута);
  • a — при нахождении автоматически завершать процесс meterpreter’а (по умолчанию отключено);
  • d — только обнаруживать процесс meterpreter’а (по умолчанию отключено);
  • e — добавить процесс в список исключений.

Чтобы сканировать память каждые 5 минут и автоматически завершать процесс meterpreter’а: antimeter.exe -t 5 -a.

 

Q: Хотел запустить свои старые DOS’овские игрушки. Увы, под DOSBox’ом правильно работает далеко не все. Есть ли альтернативы этому эмулятору?

A: Если игрушка не запустилась с помощью эмулятора DOSBox’а, остается только попробовать виртуальное окружение ScummVM (www.scummvm.org). У этого проекта есть один большой плюс: с его помощью можно заставить работать старые игрушки не только на ПК, но и на iPhone, смарфонах на базе Maemo и Symbian S60/UIQ3, самых разных девайсах на базе Windows CE (например, GPS-навигаторах) и даже телевизорах Samsung (2009 серии).

 

Q: После появления новой версии Ubuntu мой старый мультизагрузчик перестал корректно работать. Надеяться на обновления не хочется, поэтому ищу альтернативу. Что посоветуешь? У меня сейчас стоят: Windows 7, Ubuntu 10.4 и Hackintosh.

A: Последняя Ubuntu использует GRUB2 и файловую систему Ext4FS, скорее всего, отсюда и проблемы. Если хочешь моего совета, то я давно использую загрузчик EasyBCD (neosmart.net/blog). Чтобы быстро объяснить почему, просто перечислю несколько его фич, которые лично мне очень нравятся:

  • полная поддержка Windows 7 с самого ее появления;
  • автоматическая конфигурация, избавляющая от любых ковыряний с boot.ini и другими конфигами;
  • поддержка GRUB2 и файловой системы Ext4FS;
  • загрузка с ISO-образа и VHD-файлов (жестких дисков виртуальной машины);
  • полная поддержка OS X;
  • опция EasyBCD BIOS Extender, позволяющая запускаться с сетевых девайсов, USB, даже если БИОС материнской платы этого не умеет.
 

Q: Хочу организовать свой сервис-песочницу для активного изучения, что файл делает в системе: к каким файлам обращается, какие ветки в реестре создает. Изобретать велосипед не хочется, наверняка есть готовые решения?

A: Неординарный вариант, избавляющий от большого геморроя — воспользоваться любопытным проектом Zero Wine (zerowine.sourceforge.net). Программа запускает подозрительные файлы, используя эмулятор Windows-окружения WINE в качестве песочницы, и собирает информацию обо всех API-вызовах, которые осуществляет исследуемое приложение. На выходе получается удобночитаемый отчет, вполне подходящий для анализа.

 

Q: Есть ли полноценный эмулятор платформы Android, на котором можно было бы тестировать приложения и вообще познакомиться с этой мобильной ОС перед покупкой телефона?

A: Очень неплохой эмулятор Android’а включен в набор разработчика, который можно бесплатно скачать с сайта Google (developer.android.com/sdk/index.html). Помимо этого понадобится обновленная версия Java. По умолчанию с SDK установятся разные версии эмулятора: для Android 2.2 и 1.5. Если не хочешь скачивать лишнего, можно оставить только один из них (вероятно, 2.2). После установки SDK можно приступать к настройке эмулятора — это осуществляется через Android SDK и AVD Manager. Нам нужно создать виртуальный девайс на Android’е (Android Virtual Device, сокращенно — AVD): нажми на кнопку «New» справа, далее задай имя для виртуального устройства и в поле «Target» выбери нужную версию Android’а. Помимо этого здесь можно задать размер SDкарты, которая будет эмулироваться и активно использоваться мобильной ОС, а также размер экрана. Далее остается лишь выбрать только что созданную виртуальную машину и нажать на «Start». Запустится окно мобильной ОС от Google, с которой ты можешь делать что угодно.

Оставить мнение

Check Also

Windows 10 против шифровальщиков. Как устроена защита в обновленной Windows 10

Этой осенью Windows 10 обновилась до версии 1709 с кодовым названием Fall Creators Update …